0:00:00.7 Max Havey : Bonjour et bienvenue dans cette nouvelle édition de Security Visionaries, un podcast consacré au monde de la cyberinfrastructure, des données et de la technologie, qui réunit des experts du monde entier et de différents domaines. Je suis votre hôte, Max Havey. Aujourd'hui, nous plongeons dans le monde des lacs de données avec Troy Wilkinson, RSSI du groupe Interpublic, également connu sous le nom d'IPG. Troy, bienvenue dans l'émission.
0:00:21.5 Troy Wilkinson : Merci Max. C'est un réel plaisir d'être ici.
0:00:23.8 Max Havey : Heureux de vous rencontrer. Pour commencer, pouvez-vous nous expliquer le concept des lacs de données et pourquoi ils sont importants ? En tant qu'aspect de la sécurité moderne.
0:00:34.2 Troy Wilkinson : Oui, absolument. Je pense qu'il est important de prendre un peu de recul et de parler de la raison pour laquelle nous collectons des données en premier lieu, tout ce que nous faisons, voyons, touchons et la technologie a un certain type d'enregistrement machine qui en découle. Certains de ces journaux d'événements ne sont que des connexions et des déconnexions normales, mais d'autres constituent une télémétrie de sécurité très importante. Au cours des 25 ou 30 dernières années, nous avons essayé de déterminer ce qui était important pour nous du point de vue des opérations de sécurité, quelles données nous devions collecter, quelles données étaient importantes pour un événement ou un incident, puis nous avons plongé dans la logique ou la science des données pour relier ces incidents ou ces événements entre eux, On nous a demandé de placer ces données dans un endroit unique, ce que j'aime appeler le SIM hérité, où vous acheminez vos données dans une énorme base de données, puis vous effectuez l'analyse par-dessus pour recueillir des informations sur tous vos incidents. Maintenant, avec la structure du lac de données, la possibilité de placer vos données dans un schéma commun dans un lac de données vous permet de découpler ces données de votre analyse, de sorte que si la prochaine solution d'intelligence artificielle arrive et que vous voulez appliquer cette intelligence artificielle à...
0:01:55.3 Troy Wilkinson : Cet ensemble de données, c'est génial. Il suffit d'appuyer sur un bouton, vous n'avez pas besoin de déplacer vos données dans une nouvelle solution, vous n'avez pas besoin de les porter quelque part, vous pouvez simplement appliquer ces nouvelles analyses, et je pense que cela donne vraiment aux responsables de la sécurité et aux opérateurs sécurisés de la flexibilité sur la façon dont ils font des opérations de sécurité et des recherches de corrélation dans leurs lacs de données, et donc je pense vraiment que cette flexibilité, cette transparence et la propriété des données, et vraiment être en mesure de décider combien de temps vous conservez ces données est un critère de décision vraiment important pour les lacs de données et la façon dont ils vont changer l'industrie des opérations de sécurité.
0:02:30.5 Max Havey : Dans une certaine mesure, c'est une sorte d'endroit qui sert de dépôt pour toutes ces données que les organisations ont créées au cours de toutes ces années, et qu'elles peuvent maintenant utiliser à toutes les fins dont elles ont besoin, que ce soit avec un modèle d'IA ou d'analyse ou autre, mais c'est essentiellement quelque chose qui les aide à garder tout cela contenu de manière à ce qu'elles puissent également le garder en sécurité.
0:02:51.7 Troy Wilkinson : Si vous réfléchissez au coût des données, il a énormément baissé. Le stockage des données dans le nuage coûte aujourd'hui moins de quelques centimes par gigaoctet, ce qui vous permet de stocker plus de données, alors que dans le passé, vous deviez vraiment être conscient des données que j'introduis dans mon SIM et des données sur lesquelles je peux faire des corrélations, Il y avait donc des limites, et je peux décider, en tant que responsable de la sécurité, que je ne peux pas introduire cette source de données très volumineuse parce que c'est trop cher, mais je voulais vraiment le faire.
0:03:17.7 Troy Wilkinson : Et donc maintenant, avec la structure du lac de données, vous êtes en mesure de l'intégrer à un coût bien moindre et de l'utiliser pour effectuer des recherches par corrélation, ce que vous n'avez jamais pu faire auparavant. Par exemple, les journaux DNS sont généralement très bruyants et très inhabituels, de sorte que de nombreux responsables de la sécurité ne les utilisent pas. Cependant, ils sont très utiles en cas d'incidents ou si vous voulez revenir en arrière et voir si un utilisateur s'est rendu sur un site particulier, et vraiment aller au fond des choses. Le fait d'avoir ces données dans un lac de données, où le stockage est très bon marché, vous permet de mener des enquêtes à long terme et très approfondies, en particulier dans le cadre d'une enquête médico-légale après un incident.
0:03:51.5 Max Havey : En fait, l'avènement d'un stockage bon marché et la possibilité d'avoir toutes ces données créent de nouvelles opportunités pour les utiliser au mieux. Le fait d'avoir plus de stockage conduit à plus d'innovation avec ces données, et à des choses plus excitantes que les gens de la sécurité et d'ailleurs peuvent faire avec ces données.
0:04:08.7 Troy Wilkinson : Absolument, et une autre chose à mentionner est que le fait de pouvoir stocker ces données au fil du temps permet au responsable de la sécurité d'y appliquer différents types d'analyses. À titre d'exemple, nous disposons aujourd'hui de plusieurs types de recherches et d'événements de corrélation générés par l'IA, et nous sommes en mesure d'assembler des données télémétriques provenant de toutes vos sources de données à grande échelle et à grande vitesse, ce que nous n'avons jamais pu faire auparavant. C'était la promesse du SIM dans le passé, de rassembler toutes vos données en un seul endroit, de faire toutes ces interprétations fantaisistes, mais je pense que nous n'y sommes jamais arrivés du point de vue des opérateurs de rue à cause des dépenses, des connaissances nécessaires pour faire fonctionner cela et de l'entretien, nous avons été sur place pendant longtemps, donc le centre de données plein de serveurs que vous deviez entretenir, puis nous sommes passés à l'ère du nuage, et maintenant votre SIM est dans le nuage, et c'est très cher avec la puissance de calcul nécessaire pour faire ces analyses très complexes, être capable de découpler vos données et plus important encore, avoir ces données dans un schéma commun ou le schéma de cadre de cybersécurité ouvert, de sorte que chaque source de log soit dans le même schéma, de sorte qu'un nom d'hôte soit un nom d'hôte et qu'un ordinateur soit un ordinateur, et qu'une adresse IP soit une adresse IP, vous n'avez pas besoin de traduire cela, vous n'avez pas besoin de regarder à travers de multiples index ou sources de données et de les traduire.
0:05:24.2 Troy Wilkinson : En d'autres termes, tout est dans le même langage, vous pouvez poser des questions à vos données à grande échelle et à plusieurs endroits différents, ce qui aide vraiment à trouver l'aiguille dans la pile d'aiguilles, comme nous aimons le dire, pour trouver les acteurs de la menace qui font de mauvaises choses, qui se déplacent latéralement en exportant votre infrastructure, vos serveurs, votre nuage, en liant vraiment le tout là où vous auriez pu manquer ces aperçus auparavant.
0:05:45.8 Max Havey : Tout à fait. Et cela m'amène à ma prochaine réflexion : quels sont les défis que vous avez rencontrés en tant que RSSI lorsqu'il s'agit d'utiliser et de protéger les lacs de données ?
0:05:54.6 Troy Wilkinson : Je pense que les défis sont les mêmes que pour n'importe quel type de source de données : vous devez mettre en place des protections de données, vous devez avoir la propriété des données et leur lignage, vous devez vous assurer que vous dépréciez les données dans le bon délai, conformément aux exigences réglementaires que vous avez. Vous avez donc les mêmes préoccupations en matière de protection des données que pour n'importe quelle autre source de données.
0:06:14.5 Max Havey : Absolument, et dans le même ordre d'idées, pourquoi les lacs de données sont-ils devenus une surface de menace de plus en plus importante à protéger contre les acteurs malveillants et d'autres personnes qui essaient d'y pénétrer ou d'empoisonner ces données, pourquoi cela devient-il une surface de menace importante à garder à l'esprit pour les praticiens de la sécurité ?
0:06:31.9 Troy Wilkinson : Oui, bonne question. Je pense que du point de vue des données, les acteurs de la menace sont toujours à la recherche de données à exfiltrer, je pense que nous avons vu que c'est un thème croissant chez les acteurs de la menace au cours des dernières années, les récents incidents du flocon de neige que nous avons vus dans de nombreuses grandes organisations nous montrent que les act